Ransomware Hive já atacou 28 empresas desde junho

FBI diz que ransomware usa e-mails de phishing com anexos maliciosos para obter acesso inicial e o sequestro de Remote Desktop Protocol (RDP)
Da Redação
29/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O FBI emitiu um alerta sobre uma nova variante de ransomware cada vez mais abundante, conhecida como Hive. O comunicado observa que o ransomware usa uma rede de afiliados e vários mecanismos para comprometer redes corporativas, tornando mais difícil a sua mitigação.

A polícia federal americana observou os mecanismos incluem e-mails de phishing com anexos maliciosos para obter acesso inicial e o sequestro de Remote Desktop Protocol (RDP) para se mover lateralmente na rede. O próprio malware procura e encerra processos vinculados a backups, antivírus e cópia de arquivos para aumentar suas chances de sucesso. Os arquivos criptografados terminam com um sufixo .hive.

“O ransomware Hive, então, coloca um script hive.bat no diretório, o que impõe um atraso de tempo limite de execução de um segundo para realizar a limpeza após o término da criptografia, excluindo o executável Hive e o script hive.bat”, diz o alerta. “Um segundo arquivo, shadow.bat, é colocado no diretório para excluir cópias de sombra, incluindo cópias de backup de disco ou instantâneos, sem notificar a vítima e, em seguida, exclui o arquivo shadow.bat”, completa o FBI.

Veja isso
Ransomware Ragnarok fecha e publica desencriptador
Descobertos quatro grupos de ransomware altamente danosos

A nota de resgate, colocada em todos os diretórios afetados, avisa que, se os arquivos criptografados forem modificados, renomeados ou excluídos, eles não poderão ser recuperados. No espírito das operações de ransomware modernas, que são altamente profissionalizadas, há também um link de chat ao vivo para um “departamento de vendas”, acessível através de um navegador Tor, para comunicação posterior.

Algumas vítimas disseram ao FBI que receberam ligações de seus operadores pedindo pagamento de resgate. Uma segunda tática é exfiltrar e publicar arquivos roubados em um site de vazamento de dados público.

Acredita-se que o grupo ou afiliados associados ao Hive, foram responsáveis ​​pelo ataque ao Memorial Health System no início deste mês, que interrompeu os sistemas de TI em quase todas as suas 64 clínicas e três hospitais.De acordo com a Palo Alto Networks, a Hive violou 28 organizações listadas em seu site de vazamento até esta semana, incluindo uma companhia aérea europeia. Foi descoberto pela primeira vez em junho. Com agências de notícias internacionais.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest